《数据合规审计指南》团体标准发布

《指南》以全面数据合规审计的鉴证业务为核心，其主要内容分为审计分类、审计要素、审计事项及审计流程共四个部分，并在附录中提供了审计报告参考模板和外部审计的参考路径。

《指南》将数据合规审计项目分为外部审计、内部审计及专项审计三种类型，其中专项审计是指仅针对部分审计对象、特定审计主体或仅执行个别的审计程序，例如企业数据安全合规专项审计、电子商务企业个人信息合规审计、互联网运营服务商数据合规制度审阅、金融机构数据安全合规评估、医疗机构个人健康信息合规审计、政府部门数据合规政策制定项目等。

《指南》提出了数据合规审计工作的审计要素架构，覆盖审计计划、实施以及报告三个阶段，并对各审计要素进行详细展开。

【审计依据】作为审计要素之一，《指南》所明确的审计依据较为广泛，除国内外法律法规规章以及各类标准文件外，还包括组织内部的管理规定、被审计单位与相关方签订的合同，以及社会公德和商业道德等。

【审计范围】《指南》指出数据合规审计应明确审计范围，包括五个基本方面：数据和数据资产、数据环境、数据处理行为、数据合规管理以及数据安全。

【数据合规义务模型架构】《指南》将被审计单位履行的合规义务分为合规管理体系的建立及运行、合规风险的识别及评估、数据合规治理、保障与应急四个大类，并区分应做类义务、禁止类义务和契约类义务。

《指南》列举了若干方面的审计事项：

《指南》所提出的审计流程如下图所示：